Az automatizált vizsgálat és reagálás működése a Office 365-höz készült Microsoft Defender
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
A biztonsági riasztások aktivált állapotában a biztonsági üzemeltetési csapatnak kell megvizsgálnia ezeket a riasztásokat, és lépéseket tennie a szervezet védelmére. A biztonsági üzemeltetési csapatok néha túlterhelhetik az aktivált riasztások mennyiségét. A Office 365-höz készült Microsoft Defender automatizált vizsgálati és reagálási (AIR) képességei segíthetnek.
Az AIR lehetővé teszi, hogy a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban működjön. Az AIR képességei közé tartoznak a ma már ismert fenyegetésekre reagáló automatizált vizsgálati folyamatok. A megfelelő szervizelési műveletek jóváhagyásra várnak, így a biztonsági üzemeltetési csapat reagálhat az észlelt fenyegetésekre.
Ez a cikk több példán keresztül ismerteti az AIR működését. Ha készen áll az AIR használatának megkezdésére, tekintse meg a fenyegetések automatikus kivizsgálását és elhárítását ismertető cikket.
- 1. példa: Egy felhasználó által jelentett adathalász üzenet elindít egy vizsgálati forgatókönyvet
- 2. példa: Egy biztonsági rendszergazda vizsgálatot indít a Veszélyforrás-kezelőből
- 3. példa: Egy biztonsági üzemeltetési csapat integrálja az AIR-t a SIEM-jével a Office 365 Management Activity API használatával
Példa: Egy felhasználó által jelentett adathalász üzenet elindít egy vizsgálati forgatókönyvet
Tegyük fel, hogy a szervezet egy felhasználója olyan e-mailt kap, amely szerinte adathalász kísérlet. Az ilyen üzenetek jelentésére betanított felhasználó a Microsoft Jelentési üzenet vagy a Jelentés adathalászati bővítményekkel küldi el azokat a Microsoftnak elemzés céljából. A rendszer a beküldést is elküldi a rendszernek, és az Explorerben látható a Beküldések nézetben (korábbi nevén a Felhasználó által jelentett nézet). Emellett a felhasználó által jelentett üzenet most egy rendszeralapú tájékoztató riasztást aktivál, amely automatikusan elindítja a vizsgálati forgatókönyvet.
A gyökérvizsgálati fázisban az e-mail különböző aspektusait értékeli a rendszer. Ezek a szempontok a következők:
- Annak meghatározása, hogy milyen típusú fenyegetés lehet;
- Ki küldte;
- Az e-mail feladójának helye (infrastruktúra küldése);
- Az e-mail más példányainak kézbesítése vagy letiltása;
- Elemzőink értékelése;
- Hogy az e-mail társítva van-e bármilyen ismert kampányhoz;
- és így tovább.
A gyökérvizsgálat befejezése után a forgatókönyv felsorolja az eredeti e-mail és a hozzá társított entitások (például fájlok, URL-címek és címzettek) javasolt műveleteit.
Ezután számos fenyegetésvizsgálati és veszélyforrás-keresési lépés lesz végrehajtva:
- Hasonló e-mail-üzeneteket az e-mail-fürtök keresései azonosítanak.
- A jel más platformokkal is meg van osztva, például Végponthoz készült Microsoft Defender.
- Meg kell határozni, hogy a felhasználók gyanús e-mail üzenetekben lévő rosszindulatú hivatkozásokon keresztül kattintanak-e.
- A rendszer ellenőrzi Exchange Online Védelmi szolgáltatás (EOP) és Office 365-höz készült Microsoft Defender, hogy vannak-e a felhasználók által jelentett hasonló üzenetek.
- A rendszer ellenőrzi, hogy a felhasználó biztonsága sérült-e. Ez az ellenőrzés jeleket használ Office 365, Microsoft Defender for Cloud Apps és Microsoft Entra ID, és korrelálja a kapcsolódó felhasználói tevékenység rendellenességeit.
A veszélyforrás-keresési fázisban a kockázatokat és fenyegetéseket különböző veszélyforrás-keresési lépésekhez rendelik.
A szervizelés a forgatókönyv utolsó fázisa. Ebben a fázisban a vizsgálati és a veszélyforrás-keresési fázis alapján javítási lépésekre kerül sor.
Példa: Egy biztonsági rendszergazda vizsgálatot indít a Veszélyforrás-kezelőből
A riasztások által aktivált automatizált vizsgálatok mellett a szervezet biztonsági üzemeltetési csapata automatikus vizsgálatot is indíthat a Threat Explorer nézetéből. Ez a vizsgálat riasztást is létrehoz, így Microsoft Defender XDR incidensek és külső SIEM-eszközök láthatják, hogy ez a vizsgálat aktiválódott.
Tegyük fel például, hogy a Kártevő nézetet használja az Explorerben. A diagram alatti füleket használva kiválaszthatja a Email lapot. Ha kijelöl egy vagy több elemet a listában, a + Műveletek gomb aktiválódik.
A Műveletek menüben kiválaszthatja a Trigger investigation (Vizsgálat indítása) lehetőséget.
A riasztás által aktivált forgatókönyvekhez hasonlóan az Explorer nézetből indított automatikus vizsgálatok tartalmazzák a gyökérvizsgálatot, a fenyegetések azonosításának és korrelálásának lépéseit, valamint a fenyegetések mérséklésére javasolt műveleteket.
Példa: Egy biztonsági üzemeltetési csapat integrálja az AIR-t a SIEM-jével a Office 365 Management Activity API használatával
A Office 365-höz készült Microsoft Defender air képességei olyan jelentéseket tartalmaznak, & részleteket, amelyeket a biztonsági üzemeltetési csapatok a fenyegetések monitorozására és kezelésére használhatnak. Az AIR-képességeket azonban más megoldásokkal is integrálhatja. Ilyen például egy biztonsági információs és eseménykezelési (SIEM) rendszer, egy esetkezelő rendszer vagy egy egyéni jelentéskészítési megoldás. Az ilyen típusú integrációk a Office 365 Management Activity API használatával végezhetők el.
A közelmúltban például egy szervezet beállított egy módot a biztonsági üzemeltetési csapat számára, hogy megtekintse az AIR által már feldolgozott, felhasználók által jelentett adathalász riasztásokat. Megoldásuk integrálja a releváns riasztásokat a szervezet SIEM-kiszolgálójával és esetkezelési rendszerével. A megoldás jelentősen csökkenti a téves riasztások számát, így a biztonsági üzemeltetési csapatuk a valós fenyegetésekre összpontosíthatja az idejüket és erőfeszítéseiket. További információ erről az egyéni megoldásról: Tech Community blog: Az SOC hatékonyságának javítása az Office 365-höz készült Microsoft Defender és az O365 Management API használatával.